宏虹案例 | 員工才是最大的安全資產:KnowBe4 助力企業規避人為風險

摘要

網絡釣魚攻擊正以空前速度演化。KnowBe4 作為全球最大的安全意識培訓平台,長期跟蹤釣魚趨勢,透過 1,450 萬用戶、62,400 家組織和 6,770 萬次模擬釣魚測試 的數據,為企業提供最具權威的釣魚中率(Phish-Prone Percentage,PPP)和風險洞察。

今年的報告顯示,全球平均首測失敗率高達 33.1%,行業劃分顯示:醫療、保險、零售等行業最易受攻擊。同時,AI 生成的釣魚電郵和來自內部帳號的仿冒郵件手法更加隱蔽,令傳統技術防禦面臨更嚴峻挑戰。

對企業而言,員工培育不足、跨境因子增加以及本地化釣魚模擬缺失等問題,進一步增加風險。企業面臨的挑戰不僅是技術問題,更是員工行為和安全文化的議題。掌握關鍵數據和趨勢,是制定培訓策略的第一步。

核心數據洞察

全球整體 PPP 與行業對比

在第一階段,當進行任何 SAT 測試之前,全球企業的網絡釣魚易受害率(PPP)基線為 33.1%,也就是說,每三名員工中就有一名容易受到網絡釣魚電郵和社交工程攻擊。

  • 全球數據 PPP:33.1%,約三分之一員工處於易受害中。

深入研究後,我們發現超過一半的行業(19個行業中的10個)的 PPP 首測平均值均高於這一基線。對於各種規模的組織而言,以下行業風險最高:

  • 行業對比(首測失敗率)
  • 醫療與保健:41.9%
  • 保險:39.2%
  • 零售與批發:36.5%

數據顯示,高敏感信息行業和面向客戶交互業務作業員工更容易成為攻擊目標,其首測失敗率明顯高於平均水平。只有五個行業的 PPP 低於30%。即便如此,仍有超過四分之一的員工容易遭受網絡釣魚攻擊:交通運輸(29.9%)、商業服務(29.6%)、消費者服務(29.5%)、法律(28.5%)和政府(28.2%)。

企業越大,風險越大

平均而言,擁有 10,000 名以上員工 的企業,其 PPP 高達 40.5%;擁有 1,000–9,999 名員工 的企業 PPP 為 33.7%;而擁有 250–999 名員工 的企業 PPP 為 28.7%;相對地,僅有 1–250 名員工 的企業 PPP 為 24.6%

這一現象說明:人愈多,郵件數愈多,點擊連結的手指也就愈多。而且,在更多人中提升集體意識也會更加困難。不同產業與組織規模的風險狀況雖有所不同,但綜合而言,最大的風險仍集中於較大型的企業。

網絡釣魚風險可能會下降,並且保持較低水平

好消息是,經過僅僅 90 天的最佳實踐培訓,各行各業的網絡釣魚風險都能顯著降低。全球平均每五名員工(19.8%)點擊鏈接的機率可降低 超過 40%

情況持續好轉:12 個月後,平均 PPP 下降 86% 至 4.1%,而且這一下降趨勢將持續。若持續培訓,平均 PPP 在兩年後可降至 3.7%,三年後更可降至 2.6%。各行各業均已呈現出這種下降趨勢。

企業培訓效果分析

  • 基線 PPP 越高,表示首測點擊釣魚鏈接的風險越大。
  • 平均改進率為持續 12 個月培訓的整體效果。
  • 高風險行業指基線 PPP 較高的行業。
  • 培訓效果最突出行業展示了 SAT 後風險下降最大或點擊率最低的數據。

大型企業培訓資源豐富,改進幅度更為顯著;中小型企業則需要依靠工具和自動化模版來彌補培訓覆蓋不足。

亞太地區數據

  • 首測失敗率:28.6%
  • 12 個月持續培訓後:下降至 5.2%
  • 培訓效果:點擊率下降 81.8%

亞太地區數據驗證了持續培訓和模擬釣魚的顯著效果;同時也提醒企業不要忽視區域差異和本地化需求。

釣魚攻擊趨勢

  • 釣魚電郵總量增長 17.3%
  • 綜觀 Microsoft 原生防禦和安全郵箱閘道的攻擊量增長 47%
  • 82.6% 的釣魚郵件使用 AI 內容生成
  • 攻擊手法日益隱蔽,包括假冒內部郵件、仿造高層審批或財務審計請求

AI 的介入讓釣魚郵件更加逼真,即便經過培訓的資安專業人員也難以識別。在未來兩年,一些傳統檢測機制可能會失效。

解決方案方向:KnowBe4 的價值體現

持續培訓與模擬釣魚

  • 透過持續 12 個月的培訓,全球 PPP 由 33% 降至 6%
  • 亞太地區 PPP 由 28.6% 降至 5.2%
  • 大幅度降低員工點擊惡意鏈接的風險,提高整體資安防護水平

多語言與自動化模版更新

  • 支持跨境因應多語言培訓,覆蓋多種表達形式與多安全場景
  • 自動生成最新釣魚場景模版,快速覆蓋新興攻擊手法

AI 場景生成

  • 生成更真實、更具針對性的釣魚模擬
  • 提升員工識別能力,使培訓更貼近真實攻擊場景

KnowBe4 的優勢,不止是「培訓」

  • 覆蓋 35+ 種語言內容,聚焦合規、攻擊識別與風險應對
  • 內置 AI 智能模擬釣魚系統,自動生成定制測試場景
  • 強大的行為分析機制,實現個性化反饋與再培訓
  • 全自動化培訓流程,極大簡化管理流程
  • 可與 HRIS、安全網關等系統無縫集成

如果您對此感興趣,歡迎您關注我們獲取更多文章資訊,如有任何問題,也歡迎聯絡我們!

Tags: , , , , ,